Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Achtung
Die meisten zertifikatübergreifenden Zertifikate sind im Juli 2021 abgelaufen. Sie können keine Codesignaturzertifikate verwenden, die mit abgelaufenen Cross-Zertifikaten verkettet sind, um neue digitale Kernelmodussignaturen für beliebige Versionen von Windows zu erstellen.
Das Microsoft Trusted Root Program unterstützt keine Stammzertifikate mehr, die über Signaturfunktionen im Kernelmodus verfügen.
Richtlinienanforderungen finden Sie unter [Windows 10-Kernelmodus-Codesignaturanforderungen] (/security/trusted-root/program-requirements#f-windows-10-kernel-mode-code-signing-kmcs-requirements).
Vorhandene cross-signierte Stammzertifikate mit Kernel-Modus-Kodiersignierungsfunktionen funktionieren bis zum Ablauf weiterhin. Alle Zertifikate des Softwareherausgebers, Zertifikate für kommerzielle Versionen und kommerzielle Testzertifikate, die zu diesen Stammzertifikaten zurückzuführen, werden ebenfalls nach demselben Zeitplan ungültig.
Damit Ihre Treiber signiert bleibt, sollten Sie sich zuerst für das Microsoft Windows-Hardwareentwicklerprogramm anmelden.
Häufig gestellte Fragen
Wie kann ich den Ablaufzeitplan der vertrauenswürdigen Zertifikate finden?
Gibt es Alternativen zu übersignierten Zertifikaten zum Testen von Treibern?
Wie sind meine vorhandenen signierten Treiberpakete betroffen?
Erfordert jede neue Produktionsversion eines Treiberpakets eine Microsoft-Signatur?
Wie kann ich feststellen, ob geplante Ablaufdaten mein Signaturzertifikat beeinflussen können?
Ist Microsoft der einzige Anbieter von Kernelmodus-Codesignaturen für die Produktion?
Wie unterscheiden sich die Produktionssignaturoptionen in den Windows-Versionen?
Wie finde ich den Ablaufplan der vertrauenswürdigen Cross-Zertifikate?
Alle signierten vertrauenswürdigen Stammzertifikate sind jetzt abgelaufen.
Gibt es Alternativen zu übersignierten Zertifikaten zum Testen von Treibern?
Die folgenden Verfahren sind verfügbar. Für alle Methoden muss die Startoption TESTSIGNING aktiviert sein.
- MakeCert-Testzertifikatprozess
- Testsignaturprogramm für Windows Hardware Quality Labs (WHQL)
- Testzertifikat der Unternehmenszertifizierungsstelle
Informationen zum Testen von Treibern beim Start finden Sie unter Installieren eines testsignierten Treibers, der für windows-Setup und -Start erforderlich ist.
Weitere Informationen finden Sie in der Einführung in das Signieren von Treibern während der Entwicklung und beim Testen.
Wie sind meine vorhandenen signierten Treiberpakete betroffen?
Solange Treiberpakete vor dem Ablaufdatum des Blattsignaturzertifikats zeitstempelt werden, funktionieren die Pakete weiterhin.
Gibt es eine Möglichkeit, Produktionstreiberpakete auszuführen, ohne sie für Microsoft verfügbar zu machen?
Nein, alle Produktionstreiberpakete müssen an Microsoft übermittelt und von Microsoft signiert werden.
Erfordert jede neue Produktionsversion eines Treiberpakets eine Microsoft-Signatur?
Ja, jedes Mal, wenn ein Treiberpaket auf Produktionsebene neu erstellt wird, muss Microsoft das Paket signieren.
Kann ich Nichttreiber-Code mit bestehenden Zertifikaten signieren, die von einem Drittanbieter ausgestellt wurden?
Ja, diese Zertifikate funktionieren weiterhin, bis sie ablaufen. Der mit diesen Zertifikaten signierte Code wird nur im Benutzermodus ausgeführt, es sei denn, er verfügt über eine gültige Microsoft-Signatur.
Kann ich das EV-Zertifikat weiterhin zum Signieren von Übermittlungen an Das Hardware Dev Center verwenden?
Ja, erweiterte Validierungszertifikate (Extended Validation, EV) funktionieren bis zum Ablauf weiter. Wenn Sie einen Kernelmode-Treiber mit einem EV-Zertifikat signieren, nachdem das ausgestellte Zwischenzertifikat abgelaufen ist, wird der resultierende Treiber nicht geladen, nicht ausgeführt und nicht installiert.
Wie kann ich feststellen, ob sich geplante Zertifikatsablaufdaten auf mein Signaturzertifikat auswirken können?
Wenn Ihre Cross-Zertifikatskette mit Microsoft Code Verification Root endet, ist Ihr Signaturzertifikat betroffen.
Führen Sie den signtool verify /v /kp <mydriver.sys> Befehl aus, um die zertifikatübergreifende Kette anzuzeigen. Zum Beispiel:
Wie kann ich microsoft Test Signing automatisieren, um mit den Buildprozessen meiner Organisation zu arbeiten?
Ihre Buildprozesse können die Hardware Dev Center-API aufrufen.
Beispiele für die Verwendung finden Sie im Surface Dev Center Manager (SDCM) -Repository auf GitHub.
Ist Microsoft der einzige Anbieter von Kernelmodus-Codesignaturen für die Produktion?
Ja.
Wie kann ich meine Treiber in Windows XP ausführen, wenn Hardware Dev Center keine Treibersignatur bereitstellt?
Treiber können weiterhin mit einem von Drittanbietern ausgestellten Code-Signing-Zertifikat signiert werden. Das Zertifikat, das den Treiber signiert hat, muss jedoch auf dem Zielcomputer in den Zertifikatspeicher Local Computer Trusted Publishers importiert werden. Weitere Informationen finden Sie im Zertifikatspeicher für vertrauenswürdige Herausgeber.
Wie unterscheiden sich die Produktionssignaturoptionen in den Windows-Versionen?
Warnung
Übergreifende Signaturen werden für die Treibersignierung nicht mehr akzeptiert. Die Verwendung von übergreifenden Zertifikaten zum Signieren von Kernelmodustreibern ist ein Verstoß gegen die TRP-Richtlinie (Microsoft Trusted Root Program). Das TRP unterstützt keine Stammzertifikate mehr, die über Signaturfunktionen für den Kernelmodus verfügen. Zertifikate, die gegen Microsoft TRP-Richtlinien verstoßen, werden von der Zertifizierungsstelle widerrufen.
Wenn Ihr Treiber unter Windows 7, 8 oder 8.1 ausgeführt wird, muss er über das Windows-Hardware-Kompatibilitätsprogramm signiert werden. Informationen zu den ersten Schritten finden Sie unter Erstellen einer neuen Hardwareübermittlung.
Verwenden Sie ab Windows 10 entweder das Windows-Hardwarekompatibilitätsprogramm (WINDOWS Hardware Compatibility Program, WHCP) oder die Nachweissignatur.
Wenn Sie Probleme beim Signieren Ihres Treibers mit WHCP haben, berichten Sie die Einzelheiten mithilfe einer der folgenden Optionen:
Verwenden Sie das Microsoft Collaborate-Portal, das über das Microsoft Partner Center-Dashboard verfügbar ist. Erstellen Sie einen Feedback-Bug.
Wechseln Sie zum Windows-Entwicklersupport , und wählen Sie die Registerkarte "Kontakt" aus. Wählen Sie im Feld "Technischer Support " neben "Treiberentwicklung und -prüfung/Zertifizierung" die Option "Vorfall einreichen" aus.